Resumen

Nuevas leyes de privacidad y buenas prácticas con Odoo

Desde el 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) está en vigor y inició una nueva era de protección de datos y privacidad para todos. Si bien es seguro que haya escuchado o leído mucha información acerca del RGPD, puede ser difícil entender exactamente qué significa para su negocio en términos prácticos y qué debe hacer para cumplir con las nuevas normas.

En Odoo estamos comprometidos a seguir las mejores prácticas en términos de seguridad y privacidad, nos esforzamos por proporcionar el mismo nivel de protección a todos los usuarios y clientes, sin importar su ubicación o ciudadanía. Aplicamos esas mejores prácticas para todos los datos, no solo los personales.

Por lo que Odoo SA y sus filiales cumplen con el RGPD.

Información importante sobre el RGPD

Consejo
Si es posible, lo mejor que puede hacer para entender el RGPD es leer el texto oficial.
Es un poco largo (99 artículos y 88 páginas), pero es bastante comprensible aunque no sea experto en el tema.

Es un reglamento de la Unión Europea, que tiene como objetivo armonizar y modernizar la legislación de privacidad existente, como la Directiva de Privacidad de Datos de la Unión Europea, a la cual reemplaza. Establece normas para la protección de las personas naturales en relación con el procesamiento de sus datos personales y el libre flujo de datos personales dentro de Europa.

Es un reglamento, no una directiva, por lo tanto, es aplicable inmediatamente en todos los estados miembros de la UE, sin necesidad de transposición en la ley nacional de cada país. Los países de la UE tienen un margen limitado de interpretación para los puntos más detallados, pero las reglas fundamentales serán las mismas para todos , en toda la Unión Europea.

El RGPD también lleva la legislación al siguiente milenio teniendo en cuenta los medios sociales, el almacenamiento en la nube, los ciberdelitos y los grandes retos que plantean en términos de privacidad y seguridad de los datos personales.

En resumen: ¡No se preocupe!

El RGPD no es una legislación nueva y es fundamentalmente algo positivo para los ciudadanos y las empresas.

¡Tiene ventajas!

Queremos remarcar que el RGPD puede ser maravilloso para usted y sus clientes. Al principio, cumplir con el RGPD puede significar mucho trabajo, pero las nuevas normas tienen sus ventajas:

  • Mayor confianza de sus clientes y usuarios
  • Simplificación: las mismas reglas se aplican en todos los países en la UE.
  • Racionalización y centralización de sus procesos organizativos

El propósito del RGPD es otorgar a las personas más supervisión para sus datos personales. Si su empresa pone en práctica las estrategias y sistemas adecuados, será más fácil de administrar y más seguro para el futuro.

¿Cuáles son los riesgos si no cumple?

La sanción máxima por no cumplimiento es una multa administrativa de 20 millones de euros o el 4 % de su facturación anual global, lo que sea más elevado. Por infracciones menores se aplica un importe mínimo de 10 millones de euros o el 2 % de su facturación anual global.

Estos máximos pretenden ser disuasorios para empresas de todos los tamaños, pero el RGPD requiere que las multas se mantengan proporcionadas.

Las autoridades de supervisión (también conocidas como Autoridades de Protección de Datos: APD) deben tener en cuenta las circunstancias de cada caso, incluyendo la naturaleza, gravedad y duración de la infracción. Estas APDs también tienen la autoridad para investigar y aplicar acciones correctivas, las cuales incluyen la limitación de las actividades infractoras sin necesariamente imponer una multa.

Otro riesgo si no cumple es la pérdida de confianza de sus sus clientes actuales y potenciales ¡pues se preocupan por la forma en que procesa sus datos!

Por último, numerosas APDs han indicado que no impondrán multas en 2018 todavía, pero que esperan que las organizaciones demuestren que están trabajando para cumplir con las normas.

Principios clave del RGPD

Alcance

El reglamento aplica a cualquier tratamiento de datos personales en cualquier empresa:

  1. Si la organización que controla o procesa se encuentra ubicada en la Unión Europea
  2. Si la organización no se encuentra ubicada en la Unión Europea, pero el tratamiento involucra datos personales de individuos localizados dentro de la Unión Europea, y está relacionada con ofertas comerciales o control de comportamientos.

Por lo tanto, el alcance incluye a las empresas que no son parte de la UE, lo que no era el caso con la legislación anterior.

Roles

El reglamento distingue entre dos tipos principales de entidades:

  • Responsable del tratamiento de datos: cualquier entidad que determina el propósito y los medios para procesar datos personales, de forma individual o conjunta. Como regla general, cada organización es la encargada de sus propios datos.
  • Encargado del tratamiento de datos: cualquier entidad que trate datos en nombre del responsable del tratamiento.

Por ejemplo, si su empresa posee una base de datos alojada en Odoo Cloud, entonces usted es el responsable del tratamientod de datos de esa base de datos, y Odoo SA es solo un encargado del tratamiento de datos. Por otra parte, si usted utiliza Odoo On-premise, usted es tanto el responsable como el encargado del tratamiento de los datos.

Datos personales

El RGPD proporciona una definición amplia de los datos personales: cualquier información relacionada con una persona física, identificada o identificable. Una persona identificable es aquella que puede ser identificada, directa o indirectamente , sea por sus nombres, correos electrónicos, números de teléfono, información biométrica, datos de ubicación, información financiera, etc. También incluye identificadores en línea (direcciones IP, números de identificación de dispositivos, etc.).

Esto también aplica en contextos comerciales: info@odoo.com no se considera un dato personal, pero john.smith@odoo.com sí, porque se puede utilizar para identificar a una persona física dentro de una empresa.

El RGPD también exige un alto nivel de protección hacia los datos sensibles, los cuales incluyen categorías específicas de datos personales como salud, genética, aspectos raciales o información religiosa.

Principios del procesamiento de datos

Para cumplir, las actividades de tratamiento deben asegurarse de que siguen las siguientes reglas:
(según se enumeran en el Artículo 5 del RGPD)

  1. Legalidad, equidad y transparencia: para recopilar datos, debe tener una base legal con un propósito claro, y deberá informar al sujeto al respecto.

    • Tenga una política de privacidad simple y clara, y haga referencia a ella en todos los lugares en los que recopile datos
    • Verifique los fundamentos legales para cada actividad que procese datos.

  2. Limitaciones de propósito: una vez que se recolecta por un propósito, debe pedir un permiso si quiere usarlo para otro diferente.

    p. ej. - No puede decidir vender los datos de sus clientes si no fueron recolectados para ese propósito.

  3. Minimización: deberá recolectar solamente los datos necesarios para el propósito que ha definido.

  4. Exactitud: se tomarán las medidas necesarias para asegurarnos de que los datos se mantienen actualizados

    p. ej. Asegúrese de gestionar los correos rebotados y corrija o elimine las direcciones.

  5. Limitaciones de almacenamiento: los datos personales solo deben guardarse por el tiempo necesario para cumplir con su propósito principal.

    Defina periodos límites para eliminar o revisar los datos personales que haya procesado, dependiendo de su propósito.

  6. Integridad y Confidencialidad: los encargados del tratamiento de datos deben implementar medidas de control de acceso, seguridad y prevención de pérdida de datos adecuadas, de acuerdo con los tipos y alcances de los datos que se están procesando.

    p. ej. Asegúrese de que su sistema de copias de seguridad funciona, disponga de los controles de seguridad adecuados, utilice la encriptación para proteger datos confidenciales como contraseñas.

  7. Responsabilidad: los responsables del tratamiento deben cumplir todos los principios del tratamiento que se describieron antes.

    • Establezca y mantenga una referencia de mapeo de datos para su organización, que describa el cumplimiento de sus actividades de tratamiento.
    • Avise a sus clientes a través de una política de privacidad clara.
Fundamentos legales

Para actuar legalmente bajo el RGPD (primer principio), el tratamiento de datos personales debe estar basado en uno de los seis posibles fundamentos legales, según lo establecido en el artículo 6 (1):

  1. Consentimiento. Válido cuando el interesado ha proporcionado de manera explícita y libre su consentimiento, después de haber sido informado adecuadamente, lo que incluye conocer de manera clara y específica el propósito. La obligación de demostrar la veracidad de los hechos recae en el responsable del tratamiento de los datos.
  2. Necesario para la ejecución de un contrato o para cumplir con las solicitudes del interesado, en la preparación de un contrato.
  3. Cumplimiento con la obligación legal que se impone al responsable del tratamiento.
  4. Proteger un interés vital. Cuando el tratamiento sea necesario para salvar una vida.
  5. Interés público o autoridad oficial.
  6. Interés legítimo. Aplicable cuando el responsable del tratamiento tiene un interés legítimo que no sea anulado por los intereses y derechos fundamentales del interesado.

Uno de los principales cambios introducidos por el RGDP con respecto a la regulación anterior de la privacidad de datos son los requisitos más estrictos para obtener consentimiento válido.

Derechos de los interesados de los datos

El RGPD amplía los derechos existentes de la privacidad de datos para las personas. Las organizaciones deben estar preparadas para gestionar las solicitudes de los interesados de los datos de manera oportuna (en el plazo de 1 mes) y gratis:

  1. Derecho de acceso - Las personas tienen derecho a saber qué y cómo se procesa sus datos personales con total transparencia.
  2. Derecho a rectificar - Las personas tienen derecho a corregir o completar sus datos personales.
  3. Derecho a eliminar - Las personas tienen derecho aeliminar su datos personales por razones legítimas (consentimiento retirado, ya no es necesario para el propósito, etc.);
  4. Derecho a limitar - Las personas pueden solicitar que el responsable del tratamiento deje de procesarsus datos personales si no quieren o no pueden solicitar que se eliminen por completo.
  5. Derecho a oponerse - Las personas tiene derecho a oponerse a ciertos procesamientos de sus datos personales en cualquier momento, por ejemplo, para propósitos de marketing directo.
  6. Portabilidad de datos - Los individuos tienen el derecho de solicitar que los datos personales que sean mantenidos por un responsable de datos puedan serles proporcionados a ellos o a otro encargado.

Cómo debe prepararse para el GDPR

Aviso legal
No podemos proporcionar asesoramiento legal, puesto que esta sección se ofrece solo con fines informativos. Póngase en contacto con su asesor legal para determinar exactamente cómo afecta el RGPD a su empresa.

Estos son los pasos clave que sugerimos para un plan de cumplimiento del RGPD

  1. Establezca un mapeo de datos de las actividades de tratamiento de datos de su organización para tener una imagen clara de la situación. Las autoridades de Protección de datos usualmente ofrecen plantillas para facilitar esta tarea. En cada proceso, registre el tipo de datos personales y la forma en que fueron recopilados; elpropósito, los fundamentos legales y la política de eliminación del tratamiento; las medidas de seguridad técnicas y organizacionales implementadas y los subcontractistas (encargados) involucrados.

    Tendrá que mantener este mapeo de datos con regularidad, a medida que evolucionen sus procesos.
  2. Basándose en el paso 1, elija una estrategia de remedio para cualquier tratamiento en el que no disponga de una base legal (por ejemplo, falta de consentimiento) o en el que no disponga de las medidas de seguridad adecuadas. Adapte sus procesos, sus procedimientos internos, sus normas de control de acceso, copias de seguridad, supervisión, etc.
  3. Actualice y publique una Política de privacidad clara en su sitio web. Explique qué datos personales trata, cómo lo hace y cuáles son los derechos de las personas en relación con sus datos.
  4. Revise sus Contratos con un abogado y adáptelos al RGDP
  5. Decida cómo responderá a los diversos tipos de solicitudes de datos.
  6. Prepare su Procedimiento de respuesta a incidentes en caso de filtración de datos.

Dependindo de su situación, otros elementos pueden agregarse a la lista, tales como el nombramiento de un agente de protección de datos. Consulte a sus expertos internos en tratamiento y a sus asesores jurídicos para determinar cualquier otra medida pertinente.

¡Recuerde!
Establecer un mapeo claro de sus procesos hará que todo sea más fácil en el camino hacia el consentimiento.

Cómo Odoo cumple con el RGPD

En Odoo, implementar las mejores prácticas de privacidad y seguridad no es una idea nueva. Como una empresa de alojamiento en la nube, revisamos y mejoramos constantemente nuestros sistemas, herramientas y procesos, con la finalidad de mantener una plataforma excelente y segura.

Nuestros roles del RGDP

Nuestras responsabilidades con respecto a la protección de datos dependen de varias de nuestras distintas actividades de tratamiento de datos:

Nuestros roles Tratamiento de datos Tipo de datos
Responsable y encargado del tratamiento de datos En Odoo.com Los datos personales que nos proporcionan nuestros clientes directos y prospectos, nuestros partners y todos los usuarios directos de Odoo.com (nombres, correos electrónicos, direcciones, contraseñas...)
Encargado del tratamiento de datos En Odoo Cloud
(Odoo Online, Odoo.sh y otros servicios de Odoo Enterprise) 		Cualquier dato personal almacenado en las bases de datos de nuestros clientes, alojado en Odoo Cloud o transferido a nosotros con la finalidad de utilizar alguno de nuestros servicios. El propietario de la base de datos es el responsable del tratamiento de datos.
Ninguno On-Premise Cualquiera de los datos ubicados en las bases de datos de Odoo alojados de forma local o en cualquier alojamiento que no operamos nosotros.

Nuestros documentos del RGDP

Como somos un responsable de datos, actualizamos nuestra Política de privacidad para que cumpla con el RGPD. Nuestra política explica de la manera más clara posible qué datos procesamos, por qué los procesamos, y cómo los procesamos. Además, en nuestra Política de seguridad  explicamos las mejores prácticas de seguridad que implementamos en Odoo, a todos los niveles (técnico y organizativo) para garantizar que sus datos se procesen de manera que siempre estén seguros y protegidos.

Además, nuestras actividades como encargados del tratamiento de datos están sujetas a que usted acepte el Acuerdo de suscripción a Odoo Enterprise. Actualizamos este acuerdo para que contenga todas las cláusulas de protección de datos (también conocidas como “Acuerdo de tratamiento de datos”) que el RGPD requiere.
Como es cliente de Odoo S.A. usted no tiene que hacer nada para aceptar estos cambios, pues ya obtiene los beneficios de las nuevas garantías. Si no se comunica con nosotros, consideraremos que acepta este acuerdo.

Además de estos documentos, también hemos actualizado nuestro sitio web para insertar avisos de privacidad en todos los lugares importantes, con el fin de mantener informados a nuestros usuarios en todo momento.

Cómo le ayuda Odoo a implementar las mejores prácticas del RGPD

Usar Odoo para gestionar su negociono es suficiente para cumplir con el RGPD, porque el reglamento aplica a toda su empresa. Sin embargo, puesto que Odoo centraliza sus datos, reduce la redundancia de datos e implementa derechos de acceso granular y controles de seguridad, puede ser genial para ayudarle a cumplir con el RGPD.

Aquí hay algunas maneras en que creemos que Odoo puede ayudarle en el contexto del RGPD, tanto para bases de datos de Odoo On-premise como las alojadas en la nube.

Aviso legal: como siempre, consulte a su asesor legal para poder determinar cómo cumplir con el RGPD y las solicitudes del interesado. En todo momento, tenga en cuenta que puede estar procesando datos personales fuera de Odoo también.

El derecho de acceso (Art. 15) y el derecho a la portabilidad de datos (Art. 20)

  • Odoo proporciona algunas herramientas para que el titular de los datos acceda y actualice su información personal en el modo de autoservicio:
    • El portal del cliente permite a los usuarios buscar documentos contractuales: dirección y contactos, facturas, presupuestos, pedidos, actividades, tickets del servicio de asistencia, compras, suscripciones, órdenes de entrega, pagos, así como la comunicación en torno a estos documentos.
    • La página de listas de correo permite a los usuarios calificar y gestionar sus suscripciones (por ejemplo, para odoo.com: https://www.odoo.com/groups)
    • El perfil del foro permite a los usuarios de su foro revisar todas sus actividades de un vistazo
  • Si necesita exportar todos los datos o comunicar información privada que no es accesible a través del portal, necesitará realizar algunos pasos manualmente.
    Por lo general, puede acceder a todos los documentos relevantes directamente desde la barra superior en el formulario de contacto de los usuarios, donde están enlazados. Luego, puede exportar toda la información con la función “Imprimir como PDF” de su navegador, o con el menú Acción>Exportar desde la lista de contactos o la lista de sus documentos.
    Ambas opciones proporcionan formatos electrónicos compatibles con el RGPD.
  • Además de eso, es posible que tenga información que no esté vinculada al formulario de contacto y que el titular de los datos haya proporcionado en un contexto diferente. Deberá revisar esa información también, buscando por nombre o dirección de correo electrónico, por ejemplo.
    • Suscripciones a eventos:
    • Leads y oportunidaddes en su CRM

Recordatorio: Además de poder exportar documentos como PDF desde su navegador, Odoo tiene una herramienta para exportar cualquier documento o lista de documentos, en un archivo CSL o Excel, así como los documentos relacionados que están vincluados a este documento. Para utilizarla, vea a la vista en lista de cualquier pantalla, seleccione el o los documentos y haga clic en Acción, luego Exportar y elija "Exportar todos los datos". La herramienta le permite escoger los campos que quiera exportar.

El derecho a la supresión (Art. 17)

El RGPD otorga a los interesados de los datos el derecho a solicitar la eliminación de sus datos personales, bajo ciertas condiciones, tales como:

  • Los datos ya no son necesarios de acuerdo al propósito;
  • Retiran el consentimiento para un tratamiento que se basaba solo con consentimiento;
  • De lo contrario, el proceso es ilegal.

Si determina que la solicitud es legítima y ha confirmado la identidad del sujeto, puede intentar eliminar el contacto correspondiente en Odoo. Es totalmente seguro: el sistema bloqueará la operación si un documento comercial todavía se refiere al contacto (factura, contacto, orden de entrega, publicación en el foro, etc.). En ese caso, debe decidir si tiene otras obligaciones de mantener estos documentos y debe rechazar la solicitud de eliminación.

Si no tiene una razón legal para mantener la información personal, pero no puede o no quiere eliminar un documento o contacto, en este caso considera convertirlo en anónimo. Puede cambiar el nombre del contacto y modificar sus datos reconocibles (correo electrónico, dirección, etc.), o puede reasignar los documentos a un contacto genérico llamado anónimo. Una vez que quede debidamente anónima, esta información no será considerada como datos personales.

El derecho a la limitación del tratamiento (Art. 18) y condiciones para el consentimiento (Art. 7)

Es común que los usuarios pidan anular su suscripción de los correos comerciales. Si sus correos se envian a través de Odoo, los usuarios lo pueden hacer ellos mismos utilizando el enlace para cancelar la suscprición al pie de página. También puede hacerlo manualmente al marcar el campo "Exclusión voluntaria" en el contacto o en el lead/oportunidad. # Los registros marcados como “Exclusión voluntaria” se excluyen automáticamente de las campañas por correo electrónico masivas, pero aún pueden recibir mensajes directos de los usuarios (por ejemplo, presupuestos, facturas).

El derecho de rectificación (Art. 16) y la exactitud de datos (Art. 5 (1) d)

Las direcciones de correo electrónico no válidas o en constante cambio son una fuente común de errores de datos. Cuando la integración de correo electrónico está configurada correctamente (por defecto en Odoo Cloud), Odoo gestiona los rebotes de correo electrónico en sus correos masivos y aumenta el campo de Rebote con el número de mensajes rechazados. Puede revisar periódicamente sus contactos o prospectos con una búsqueda personalizada de "Rebote mayor que 0"y limpiar/borrar los registros.

Los seguidores de los canales de Conversaciones de Odoo son dados de baja automáticamente después de 10 rebotes.

En cuanto a la rectificación, los usuarios y clientes también pueden corregir sus propios datos personales (nombre, correo electrónico, dirección) a través del portal de Odoo.

Consentimiento (Art. 7)

Cuando recopila datos personales a través de los mecanismos predeterminados de Odoo (por ejemplo, formularios de contacto, suscripciones a listas de correo, suscripciones a eventos), tiene que establecer un propósito y una base legal para procesarlos. Esto depende en gran medida de cómo utilizará esos datos.

Si el propósito es específico y evidente (por ejemplo, almacenar el registro de los participantes de un evento para mantenerlos informados sobre la duración del mismo; suscribir a alguien a la lista de correo que eligieron), no necesita solicitar su consentimiento explícito (los datos personales son necesarios para un contrato- Art. 6 (1) b). . Sin embargo aún necesita dejar claro el propósito al usuario, y referirse a su página de política de privacidad donde da más información. Puede utilizar el creador de sitios web de Odoo para editar los formularios y añadir las menciones necesarias.

Sin embargo, si quiere usar los datos recopilados para otros fines, necesita obtener el consentimiento explícito del usuario para cada propósito. Lo recomendable es agregar casillas de verificación en su formulario para obtener el consentimiento por cada propósito específico (por ejemplo: "Por favor envíeme descuentos y promociones sobre productos similares por correo electrónico"). Para hacer esto con Odoo, puede:

  1. Utilizar Odoo Studio para agregar un campo de casilla (un campo de tipo booleano) en el documento dónde se recopilan los datos personales (por ejemplo, Leads/Oportunidad) y representar el consentimiento dado para este propósito.
  2. Agregar una casilla de verificación en su sitio web con el creador de sitios web de Odoo.
  3. Utilizar este campo al momento de procesar datos para este propósito. Por ejemplo, en los filtros de segmentación de sus campañas de marketing.

Privacidad desde el diseño (Art. 25)

El diseño inherentemente seguro está al centro de nuestro trabajo de I&D en Odoo y aplicamos las mejores prácticas de seguridad para hacer nuestro software seguro, robusto y resistente para todos.

Control de acceso - Gracias al mecanismo de control de acceso según grupos de Odoo podrá restringir el acceso que tenga un usuario a la información personal según el rol y las necesidades del usuario. Por ejemplo, un gestor de proyecto no necesita tener acceso a los candidatos para un puesto de trabajo. Si le da mantenimiento a los derechos de acceso de los grupos de usuarios, tendrá un buen control de la privacidad. Puede modificar los grupos de usuarios y adaptarlos a sus necesidades sin dificultades.

Reglas de registro - Para ajustar el acceso a datos personales, puede utilizar el concepto de Reglas de registro las cuales le permiten restringir el acceso a ciertos documentos según cualquier criterio basado en valores de campo. Las reglas de registro pueden bloquear operaciones de lectura y edición, y funcionan con base en documentos previos. Para más información, consulte nuestra documentación .

Contraseñas - Odoo guarda las contraseñas de los usuarios con hashing seguro de éstandar industrial. También es posible usar los sistemas de autenticación externa como OAuth 2.0 o LDAP para evitar que se almacenen las contraseñas de los usuarios.

Datos de los empleados - Es muy probable que dentro de la pestaña Información privada haya información sensible sobre los empleados y sus contratos. Solo el personal de recursos humanos (el grupo "encargado de RR. HH.") puede ver esta parte del directorio de empleados, ya que estas personas necesitan esa información para realizar su trabajo. Esta protección se extiende a la dirección personal de los empleados desde Odoo 12 hasta Odoo 17, se almacena dentro de los contactos de tipo "privado" a los que solo el personal de RR. HH puede acceder. A partir de la versión 17.0, se almacena directamente en el registro del empleado.

Seguridad del tratamiento (artículos 25 y 32)

Implementamos las mejores prácticas de seguridad en todos los niveles tanto de Odoo Online como de Odoo.sh. Para más información, consulte nuestra Política de seguridad.
Usted es el responsable de seguir las mejores prácticas de seguridad si usa Odoo On-premise. Para empezar, puede revisar nuestras recomendaciones de seguridad en nuestra documentación de despliegue.